Atlassian, aralarında Bamboo Veri Merkezini ve Sunucusunu etkileyen ve kullanıcı etkileşimi gerektirmeden kullanılabilecek kritik bir hatanın da bulunduğu iki düzineden fazla güvenlik açığına yönelik yamalar yayınladı.
Şu şekilde izlendi: CVE-2024-1597güvenlik açığı, maksimum ciddiyeti gösteren 10,0 CVSS puanına sahiptir.
SQL enjeksiyon kusuru olarak tanımlanan hatanın kökeni, org.postgresql:postgresql adı verilen bir bağımlılığa dayanıyor ve bunun sonucunda şirket, kritikliğe rağmen “daha düşük bir risk değerlendirmesi sunduğunu” söyledi.
“Bu org.postgresql:postgresql bağımlılığı güvenlik açığı […] Atlassian, kimliği doğrulanmamış bir saldırganın, ortamınızda gizlilik üzerinde yüksek etkiye, bütünlüğe yüksek etkiye, kullanılabilirliğe yüksek etkiye sahip olan ve kullanıcı etkileşimi gerektirmeyen istismara açık varlıkları açığa çıkarmasına izin verebilir.” dedi.
NIST'in Ulusal Güvenlik Açığı Veritabanındaki (NVD) kusurun açıklamasına göre, “PostgreSQL JDBC Sürücüsü pgjdbc, PreferQueryMode=SIMPLE kullanıldığında saldırganın SQL enjekte etmesine izin veriyor.” Aşağıda listelenenlerden önceki sürücü sürümleri etkilenmiştir –
- 42.7.2
- 42.6.1
- 42.5.5
- 42.4.4
- 42.3.9 ve
- 42.2.28 (42.2.28.jre7'de de düzeltildi)
Bakımcılar geçen ay bir danışma belgesinde, “Varsayılan olmayan bağlantı özelliği tercihQueryMode=simple, bir parametre değerini geçersiz kılan savunmasız bir SQL'e sahip uygulama koduyla birlikte kullanıldığında SQL enjeksiyonu mümkündür” dedi.
“Varsayılan sorgu modunu kullanırken sürücüde herhangi bir güvenlik açığı yoktur. Sorgu modunu geçersiz kılmayan kullanıcılar etkilenmez.”
Atlassian güvenlik açığının Bamboo Veri Merkezi ve Sunucusunun aşağıdaki sürümlerinde tanıtıldığı söyleniyor:
- 8.2.1
- 9.0.0
- 9.1.0
- 9.2.1
- 9.3.0
- 9.4.0 ve
- 9.5.0
Şirket ayrıca, Bamboo ve diğer Atlassian Veri Merkezi ürünlerinin, SQL veritabanı bağlantı ayarlarında PreferQueryMode=SIMPLE kullanmadıkları için CVE-2024-1597'den etkilenmediğini vurguladı.
SonarSource güvenlik araştırmacısı Paul Gerste, kusuru keşfetme ve raporlama konusunda itibar kazandı. Olası tehdide karşı korunmak için kullanıcıların örneklerini en son sürüme güncellemeleri önerilir.